解决Spring Boot中的安全漏洞与防护策略

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
 
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 配置登录和注销
            .formLogin()
                .loginPage("/login")
                .permitAll()
            .and()
            .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login?logout")
                .permitAll()
            // 其他安全配置
            .and()
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
            .and()
            .csrf().disable(); // 关闭CSRF保护，仅在测试或明确知道风险时使用
    }
}

这段代码定义了一个SecurityConfig类，它扩展了WebSecurityConfigurerAdapter并使用@EnableWebSecurity注解启用了Spring Security。它还定义了一个Bean来提供BCrypt密码编码器，并在configure方法中配置了HttpSecurity，关闭了CSRF保护，并设置了自定义的登录和注销页面。这样的配置可以有效地提升应用程序的安全性。